Blog TechNet Brasil : AD

Contornando o Event ID 2886 no Windows Server 2008

lucianopalma — Tue, 13 Jan 2009 14:24:05 GMT

Quando concluímos a adição da função de Active Directory Domain Service em um Windows Server 2008, encontramos um alerta na console do Server Manager, e ao fazermos um Drill Down teremos o Event ID 2886. Este alerta é registrado toda vez que iniciamos/reiniciamos o sistema operacional.

…
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 2886
Task Category: LDAP Interface
Level: Warning
Description:
The security of this directory server can be significantly enhanced by configuring the server to reject SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP binds that do not request signing (integrity verification) and LDAP simple binds that are performed on a cleartext (non-SSL/TLS-encrypted) connection. Even if no clients are using such binds, configuring the server to reject them will improve the security of this server.
….

Este alerta ocorre porque o ambiente é by design projetado para compatibilidade do tráfego LDAP com clientes, serviços, e aplicações que não foram modificadas para o suporte a este recurso. Para configurarmos o ambiente para que este alerta deixe de ser registrado, teremos que realizar duas modificações, usando o Group Policy Management, na política de grupo Default Domain Controllers Policy, que é a GPO padrão do domínio. Segue abaixo como as duas entradas deverão estar configuradas:

Computer Configuration
=> Policies
==> Windows Settings
===> Security Settings
====> Local Policies
=====> Security Options

Domain controller: LDAP server signing requirements = “Require signing”

Computer Configuration

=> Policies
==> Windows Settings
===> Security Settings
====> Local Policies
=====> Security Options

Network Security: LDAP client signing requirements = “Negotiate signing”

Salientando, estas mudanças obrigam (escopo de domínio) ou haverá negociação (escopo de rede) que o tráfego LDAP seja assinado. Mudando estes parâmetros poderá ocorrer incompatibilidade em alguns clientes, serviços ou aplicações. Entretanto, modificando estas configurações, ganhamos na segurança do ambiente.

Para melhor entendimento, recomendo consultar o KB823659 e, testar…

por Jonildo Santos

O que é FSMO?

lucianopalma — Thu, 18 Sep 2008 18:58:39 GMT

Quem já trabalha com Active Directory diariamente já esta acostumado a lidar com esta “palavrinha” com frequência. No Active Directory o conceito de PDC/BDC não existe mais. Todos os controladores de domínio passam a armazenar uma cópia do diretório que pode ser modificada (Exceto no RODC do Windows Server 2008).
O acrônimo FSMO significa Flexible Single Master Operation. Ao todo temos 5 mestres de operações (Operation Master), duas que afetam a floresta como um todo e outras três que afetam um domínio. Essas regras tem por objetivo controlar os conflitos que podem existir no modelo Multi-Master do Active Directory.

Floresta : são regras que afetam toda uma floresta Windows 2000/2003/2008 e podem ser hospedadas por qualquer controlador de domínio dentro da floresta

As regras da Floresta são :

1. Schema Master

2. Domain Name Master

Domínio : são regras que afetam apenas um domínio Windows 2000/2003/2008, e podem ser hospedadas por qualquer controlador de domínio dentro do domínio

As regras do Domínio são :

1. PDC Emulator

2. RID Master

3. InfraStructure Master

Dica : Para determinhar rapidamente quais são os servidores controladores de domínio que são proprietários (owner) de cada FSMO, com o Support Tools instalado (No Windows Server 2008 o comando NETDOM é nativo e não precisa do Support Tools). Basta digitar :

C:\Program Files\Support Tools\NETDOM QUERY FSMO. O resultado mostra na primeira coluna as 5 regras e na segunda coluna os DCs responsáveis por gerenciá-los.

Nos próximos posts detalharei a função de cada uma das FSMOs, e na ausência ou falha delas qual problemas podem ocorrer.

por Gilson Banin

Identifique seu Active Directory!

lucianopalma — Tue, 16 Sep 2008 16:38:21 GMT

Se você quer saber qual a versão do seu Active Directory basta você saber qual versão do Schema. A versão do Schema determina qual a versão do sistema operacional do seu Domain Controller mais atualizado. Esse valor é alterado somente quando a Floresta é preparada através do comando “Adprep /Forestprep”, largamente utilizado na preparação e atualização de um Domínio do Active Directory de uma versão inferior para uma versão mais atualizada (Por exemplo : Active Directory 2003 R2 para Active Directory 2008).

O significado das versões

Podem existir cenários onde há mais do que um Domain Controller com versões de sistema operacional diferentes respondendo pelo mesmo domínio; um executando o Windows 2000 Server e outro Windows Server 2003. Neste caso, apesar de ter um DC Windows 2000 como Domain Controller a versão do schema será 31, que corresponde à versão do Domain Controller com o sistema operacional mais atualizado, neste caso o Windows Server 2003.

A tabela abaixo ilustra os valores do Schema e o sistema operacional relacionado.

Versão do Schema	Sistema Operacional
13	Microsoft Windows 2000
30	Microsoft Windows Server 2003 e/ou Windows Server 2003 SP1
31	Microsoft Windows Server 2003 R2
44	Microsoft Windows Server 2008

Três maneiras para identificar a versão de seu AD

1 – Através do Registry

Acesse HKLM\System\CurrentControlSet\Services\NTDS\Parameters, localize o valor Schema Version, mude para Decimal e observe o valor.

2 – Através do ADSIEDIT.MSC

Instale o Support Tools (http://www.microsoft.com/downloads/details.aspx?FamilyID=96a35011-fd83-419d-939b-9a772ea2df90&DisplayLang=en) e execute o programa ADSIEDIT.MSC. Expanda CN=Schema,CN=Configuration, e clique com o botão direito. Na Aba Attribute Editor, localize atributo ObjectVersion e observe o valor na coluna Value.

3 – Através do utilitário C:\Windows\System32\schupgr.exe

Acesse a pasta “C:\Windows\System32” de qualquer Domain Controller e simplesmente execute o programa SCHUPGR.EXE. Será listado na tela o valor atual do Schema, no nosso exemplo o valor 31 na linha Current Schema Version o que significa que estamos executando um Domain Controller com o Windows Server 2003 R2.

por Gilson Banin